Sou apenas um sysadmin metido a besta que gosta de fazer uns scripts de vez em quando. No meu antigo emprego eu fazia muitos, mas sempre para aplicações específicas, que não teriam uso para mais ninguém fora da empresa.

Mas no atual emprego estou fazendo coisas mais genéricas e resolvi compartilhar este script que fiz estes dias. Ainda está bem verde e mostra claramente minha falta de finesse como programador.

Se você utiliza Ubuntu e tem o UFW ativado já deve ter reparado que os logs que ele gera não são exatamente fáceis de ler. Nada que um bando de pipes, greps, seds e cuts encadeados não resolva, mas como o UFW em si é feito em Python e eu ando querendo melhorar meus conhecimentos nesta linguagem, resolvi fazer meu parser também em Python.

Se alguém eventualmente baixar e usuar este treco, depois me fala o que achou e me mande patches.

Download aqui.

Related posts

• Ubuntu pronto para guerra (9)
• Brasileiros em Halifax (1)
• Zimbra Collaboration Suite (2)
• Tá de brincadeira, 02? (4)
• SSHFS no Ubuntu Hardy (1)

A rede mundial de computadores tem mais de 10 botnets. Todas dominadas por crackers armados até os dentes. É só nego de nmap, nessus, tcpdump e por ai vai.
No resto do mundo são softwares de auditoria. Na internet, são as armas do crime.

Um 0-day attack atravessa um firewall como se fosse papel. É burrice pensar que numa rede assim os daemons, mesmo atualizados, não vão ser crackeados apenas para fazer valer a lei.
E Linux também tem bug amigo, Linux também tem falha de segurança.

É por isso que nessa rede todo administrador tem que escolher: Ou se corrompe, ou se omite, ou vai pra guerra.

Aviso

Se você é um profissional decente, não tenho dúvidas que vai decidir partir para guerra e nesse tutorial vamos ver os passos básicos para tornar seu servidor mais resistente a invasões.

Mas não se iluda. Nada é 100% seguro e seguir as boas práticas de segurança uma vez na vida não vai te ajudar muito. Mantenha-se atualizado, mantenha sua infra-estrutura atualizada (não apenas seus servidores) e seja humilde. Aprenda com seus erros e com os erros dos outros.

Outro ponto que vale ressaltar aqui: Esse tutorial é dirigido ao Ubuntu Server 8.04 (Hardy). Muita coisa pode ser aplicada para desktop e para outras distribuições, mas não é sobre isso que vou falar aqui.

Fique com o básico

Quanto menos pacotes instalados no seu Ubuntu, melhor. Mais pacotes significam mais potenciais pontos de falha, mais opções para um invasor tentar escalar privilégios e mais recursos para ele utilizar sua máquina como ponte para outros ataques em caso de uma invasão bem sucedida.

Durante a instalação do seu Ubuntu Server, quando apresentado às opções, não escolha nenhum pacote. Você pode manualmente instalar openssh, LAMP, DNS e etc mais tarde, num momento mais conveniente.

Num primeiro momento fique apenas com o sistema mais enxuto possível para facilitar as implementações de segurança antes de começar a abrir as portas.

Application Specific

Ter um servidor para cada serviço que você precisa não é mais exclusividade de grandes empresas, com um gordo orçamento. Utilize máquinas virtuais baseadas no seu hypervisor preferido e crie uma máquina virtual para cada tipo de serviço que for utilizar.

Utilize de bom-senso. Não coloque banco de dados da intranet na mesma partição virtual que está seu banco de dados da DMZ.

Algo como um servidor de banco de dados para todos os serviços da DMZ e um servidor HTTP para todos os bancos de dados da DMZ parece mais coerente.

Servidores em redes muito hostis (como um servidor do lado de fora dos firewalls da DMZ) ficam melhor se forem self-contained, ou seja, com todos os serviços rodando numa mesma partição virtual.

Tenha certeza de que tem uma placa de rede exclusiva para administração do seu hypervisor e proteja-a muito bem.

No Ubuntu o Xen é uma excelente opção.

Guardando seus logs

Numa situação ideal sua rede vai dispor de um servidor de syslog onde todos os hosts enviam seus eventos, mas se não for o caso, durante a instalação crie uma partição /var/log com filesystem ext3.

Isso vai permitir que você utilize o chattr para restrigir seus arquivo ao modo append only.

# cd /var/log
# chattr +a messages syslog auth.log daemon.log

Caso esteja utilizando rotacionamento de log, lembre-se de editar as políticas para evitar erros.

Ter logs é essencial para previnir invasões, mas pode ser seu passe livre de problemas em caso de invasão concretizada ou investigação judicial.

Se possível utilize sempre um servidor de syslog numa máquina física à parte. Seja bem paranóico na configuração da segurança dessa máquina.

Utilize firewall local

Mesmo que sua rede disponha de firewall de borda, existe sempre a possibilidade de alguém conseguir acesso à sua rede local. Um visitante numa sala de reunião, um esperto num wireless rogue, etc.

No Hardy nem mesmo com sintaxe do iptables você precisa se preocupar. Basta utilizar o ufw.

Ele já vem com uma lista de regras pré-configuradas com um nível de segurança bem aceitável. Falando em bom iptablês, as policies são DROP e você aplica suas excessões.

Exemplificando um servidor LAMP na sua DMZ:

# ufw allow proto tcp from 192.168.5.0/24 to 192.168.100.2 port 22
# ufw allow proto tcp from any to any port 80
# ufw enable

Onde:

192.168.5.0/24 é sua rede interna.

192.168.100.2 é o IP interno do seu LAMP server

Ou um servidor de DNS apenas com ip válido:

# ufw allow proto tcp from 200.200.200.201 to 200.200.200.10 port 22
# ufw allow proto udp from any to 200.200.200.10 port 53
# ufw allow proto tcp from 200.1.1.200 to 200.200.200.10 port 53
# ufw enable

Onde:

200.200.200.201 é o IP nateado da sua rede

200.200.200.10 é o IP do seu servidor de DNS

200.1.1.200 é o seu DNS Slave

Colocando uma armadura

A Novell desenvolveu um excelente framework de segurança chamado AppArmor e disponibilizou como open source.

Consiste basicamente em um patch no kernel e uma série de ferramentas de gerenciamento.

O conceito é: Uma determinada aplicação, independentemente de estar sendo executada pelo zezinho ou pelo root deve conseguir acessar somente determinados diretórios e arquivos, executar somente determinados comandos e utilizar somente determinadas bibliotecas.

O grande trunfo do AppArmor é que ele proteje seus servidor mesmo contra 0-day attacks. Se você preparar o perfil da sua aplicação muito bem são grandes as chances de seu servidor sair ileso mesmo num ataque a um daemon bugado.

Para isso você gera um arquivo com o “perfil” da aplicação e fala pro AppArmor: Amigão, esse binário só pode fazer isso aqui ó…

O Hardy já vem com o kernel patcheado e com as ferramentas de gerenciamento instaladas. Basta baixar os profiles e sair usando.

# apt-get install apparmor-profiles

Mas lembre-se do seguinte: Os profiles que você instalou levam em conta que você está utilizando os serviços conforme a configuração padrão do Ubuntu. Eu inclusive recomendo que você realmente faça isso sempre que possível, mas caso esteja utilizando alguma coisa diferente do padrão, um pouco de tweak pode ser necessário.

Pessoalmente senti falta de um profile para o Apache, mas depois de criar o meu eu entendi o motivo: Depende muito do que você vai rodar no seu webserver.

Talvez mais para frente eu escreva um artigo sobre o AppArmor, mas por enquanto, fique com este link da Wiki do Ubuntu.

UPDATE (29/08/2008 08:27): Meu amigo Mezzanotti, que é especialista em IT Security, mandou um link bem interessante que eu não conhecia: Center for Internet Security. Muitos tutoriais de hardening lá. Vale uma passada.

Related posts

• UFW Log Parser (0)
• Tá de brincadeira, 02? (4)
• Medo (0)
• Ibex (1)
• Gutsy Gibbon (0)

Comecei procurando pelo modelo WRT54GL, pois eu sabia que vinha com um Firmware baseado em Linux, mas como não achei comprei um WRT54G mesmo. Afinal estava em promoção e saiu por menos de CAD$ 55,00.

Eu estava vivendo feliz com ele até o dia que li uma matéria no Lifehacker o Tomato e lá tinha link pra uma outra matéria sobre o DD-WRT.

O dedo coçou de vontade de instalar, mas ai bateu aquele misto de “e se eu entijolar (gostaram da tradução de to brick?)” com “mais que preguiça”. E o Linksys permaneceu com seu firmware original mesmo.

Mas ai a minha irmã me aparece com um problema interessante: Onde ela mora tem wireless no térreo, mas como ela mora no 4.o andar tem dia que o sinal chega, tem dia que não chega e tem dia que fica capengando. Ela tentou contratar ADSL, que é a única opção por lá, mas o prédio não tem fiação pra instalar a linha telefônica no andar dela. O resultado é que normalmente ela tem que ir até o térreo pra usar o wireless e isso é muito incoveniente.

Então saimos esses dias procurando na Best Buy e na FutureShop por algum tipo de antena externa pra MacBook, o que resultou em nada.

Já estávamos indo embora da última loja quando a matéria sobre o DD-WRT me veio à mente: Hum… E se eu fizesse uma gambi?

A idéia é simples: Compramos um AP do mesmo modelo que o meu, substitui (com sucesso) o Firmware original pelo DD-WRT (aka Linux) e configurei o bichinho pra ser um CLIENTE wireless ao invés de um AP.

Resumindo a idéia, algo mais ou menos assim:

Bom, eu trouxe o AP pra casa, instalei o DD-WRT e fiz as configurações conforme o desenho acima. Aproveitei também que o DD-WRT permite que você edite as configurações de potência da antena e subi de 28 para 70, que até onde li é um limite seguro, com poucas chances de queimar o equipamento. Vi relatos de gente que chutou até 98 e continua funcionando, mas achei arriscado demais.

Ao invés disso lembrei que tinha visto no Efetividade.net alguns artigos sobre antenas baratas e mandei os links pra minha irmã. Se as duas antenas externas do Linksys ainda forem fracas pra pegar o sinal que vem do térreo, ainda rola mais um empurrãozinho na potência.

Depois que o router dela funcionou eu criei coragem e instalei o DD-WRT no meu também e está bem mais divertido agora. Posso dar comandos shell no meu AP!

BusyBox v1.4.2 (2008-01-02 11:32:06 CET) Built-in shell (ash)
Enter 'help' for a list of built-in commands.

root@DD-WRT:~#

root@DD-WRT:~# ps aux
PID Uid VmSize Stat Command
1 root 308 S /sbin/init noinitrd
2 root SW [keventd]
3 root RWN [ksoftirqd_CPU0]
4 root SW [kswapd]
5 root SW [bdflush]
6 root SW [kupdated]
9 root SW [mtdblockd]
12 root 216 S /sbin/watchdog
2709 root 220 S resetbutton
2743 root 236 S /usr/sbin/telnetd
2751 root 312 S /sbin/wland
2752 root 312 S dnsmasq –conf-file=/tmp/dnsmasq.conf
3747 root 232 S /usr/sbin/cron
12935 root 604 S httpd -p 80
13016 root 288 S igmprt -i vlan1
13018 root 308 S process_monitor
13220 root 212 S udhcpc -i vlan1 -p /var/run/udhcpc.pid -s /tmp/udhcpc
17243 root 388 S -sh
17372 root 280 R ps aux
Agora só esperar minha irmã voltar pra França e dar o relato se a gambi funcionou.

Related posts

• Wifi. Você compartilha o seu? (7)
• ZFS – Alguns exemplos (9)
• Windows 7 ou KDE 4? (0)
• Wifi no ônibus? Aqui já tem (1)
• What really matters (0)